การพิสูจน์ตัวผู้ใช้ด้วยข้อความโทรศัพท์เริ่มขึ้นตั้งแต่ปี 1996 เมื่อบริษัทเอทีแอนด์ทีระบุระบบที่อนุญาตให้ทำธุรกรรมโดยอาศัยโค๊ดที่ส่งไปยังวิทยุติดตามตัว[9][10]

ระบบพิสูจน์ตัวผู้ใช้ด้วยปัจจัยหลายอย่างมักจะอนุญาตให้ใช้โทรศัพท์เคลื่อนที่เป็นปัจจัยด้วยวิธีที่ใช้รวมการส่งคำขออนุญาตด้วยแอป (push-based) การส่งรหัสคิวอาร์ การใช้รหัสที่ใช้ครั้งเดียว (OTP ซึ่งใช้ได้อย่างจำกัดเวลา) และการส่งโค๊ดทางข้อความเอสเอ็มเอสแต่การใช้ระบบเอสเอ็มเอสก็มีปัญหาความปลอดภัยเพราะข้อมูลที่กำหนดตัวโทรศัพท์สามารถก๊อปได้ สามารถมีแอปหลายแอปที่ใช้รับรหัสได้ในอุปกรณ์อื่นๆ และช่างที่ซ่อมโทรศัพท์ก็สามารถดูข้อความในโทรศัพท์ได้ดังนั้น รวมๆ แล้วโทรศัพท์จึงไม่ค่อยปลอดภัย เพราะไม่ใช่อะไรที่ผู้ใช้เท่านั้นมี

ข้อเสียของการพิสูจน์ตัวผู้ใช้โดยสิ่งที่มีก็คือ ผู้ใช้ต้องถือเอาโทเค็นที่เป็นวัตถุไปด้วยอยู่ตลอดเวลา ไม่ว่าจะเป็นอุปกรณ์ยูเอ็สบี บัตรธนาคาร หรือกุญแจอะไรบางอย่างซึ่งก็อาจหายหรือถูกขโมยได้อนึ่ง องค์กรหลายแห่งห้ามการถืออุปกรณ์อิเล็กทรอนิกส์หรืออุปกรณ์ยูเอสบีเข้าหรือออกจากอาคารเพราะกลัวมัลแวร์หรือถูกขโมยข้อมูล เช่นดั่งที่เครื่องมืออุปกรณ์อันสำคัญที่สุดจะไม่มีช่องยูเอสบี

อนึ่ง โทเค็นฮาร์ดแวร์แบบเฉพาะๆ ยังขยายใช้ได้ไม่ง่าย เพราะปกติจะต้องใช้โทเค็นอันหนึ่งต่อบัญชีต่อระบบการแจกและการต้องเปลี่ยนโทเค็นแบบนี้มีค่าใช้จ่ายอนึ่ง การแลกเปลี่ยนระหว่างการใช้ง่ายกับความปลอดภัยยังเป็นปัญหาที่เลี่ยงไม่ได้[11]

การพิสูจน์ตัวจริงด้วยปัจจัยที่สองเป็นโทรศัพท์เคลื่อนที่หรือสมาร์ทโฟน เป็นทางเลือกของการใช้อุปกรณ์โดยเฉพาะเพื่อจะพิสูจน์ตน ผู้ใช้สามารถใช้ข้อมูลลับส่วนตัวสำหรับอุปกรณ์นั้น (เป็นสิ่งที่ผู้ใช้เท่านั้นรู้) บวกกับรหัสใช้ครั้งเดียวที่สร้างขึ้นเรื่อยๆ โดยปกติเป็นเลขรหัส 4-6 ตัวเลขรหัสอาจส่งไปที่โทรศัพท์[2]ผ่านข้อความเอสเอ็มเอส หรืออาจสร้างขึ้นโดยแอปที่สร้างรหัสใช้ครั้งเดียวข้อดีก็คือไม่ต้องมีอุปกรณ์โทเค็นโดยเฉพาะๆ เพราะผู้ใช้ปกติก็มีมือถือติดตัวอยู่แล้ว

แม้การพิสูจน์ด้วยเอสเอ็มเอสจะเป็นที่นิยม ก็มักจะถูกวิจารณ์ในด้านปัญหาความปลอดภัย[12]ในเดือนกรกฎาคม 2016 สถาบันมาตรฐานและเทคโนโลยีแห่งชาติสหรัฐ (NIST) ได้ร่างแนวทางปฏิบัติที่เสนอให้เลิกใช้ข้อความเอสเอ็มเอสเป็นเครื่องพิสูจน์ตัวจริง[13]แต่อีกปีต่อมา สถาบันก็กลับระบุเป็นวิธีพิสูจน์ตนได้เหมือนเดิม[14]

บริษัทกูเกิลในปี 2016 และบริษัทแอปเปิลในปี 2017 ก็เริ่มให้ผู้ใช้พิสูจน์ตนด้วยข้อความเตือนแบบ push notification[3]โดยใช้เป็นทางเลือกของปัจจัยที่สอง[15][16]

โทเค็นที่อาศัยโทรศัพท์เคลื่อนที่อาศัยการบริหารความปลอดภัยของผู้ใช้โทรศัพท์ โดยยังรั่วได้ง่ายเนื่องกับการดักฟังหรือการลอกซิมที่องค์กรความมั่นคงของชาติต่างๆ อาจจะทำ[17]

• ไม่ต้องมีอุปกรณ์ต่างหากๆ เพราะใช้มือถือที่ติดตัวผู้ใช้อยู่ตลอด
• เพราะรหัสเปลี่ยนไปเรื่อยๆ จึงปลอดภัยกว่าข้อมูลนิ่งที่นำไปลงชื่อใช้
• เพราะรหัสเปลี่ยนไปเรื่อยๆ รหัสที่สร้างขึ้นแต่ผู้ใช้ไม่ได้รับเพราะปัญหาการส่งการรับ จะไม่ขัดการลงชื่อใช้ต่อๆ ไป

• ผู้ใช้ยังไม่พ้นปัญหาฟิชชิง เพราะคนร้ายอาจส่งข้อความเอสเอ็มเอสอันมีลิงก์ไปยังผู้ใช้โดยลิงก์ไปยังเว็บไซต์ปลอมได้เหมือนจริง แล้วได้ชื่อผู้ใช้ รหัสผ่าน และโค๊ดพิสูจน์ตนจากผู้ใช้[18]
• มือถือก็ไม่ใช่จะใช้ได้อยู่ตลอดเวลา เพราะหายได้ ถูกขโมยได้ แบ็ตหมด หรืออาจเสีย
• แม้จะนิยมขึ้นเรื่อยๆ ผู้ใช้บางคนก็ยังอาจไม่มีมือถือ และอาจโมโหว่าถูกบังคับให้ใช้เพื่อจะเข้าถึงบริการบางอย่างที่มีอยู่ในคอมพิวเตอร์ของตน
• สัญญาณมือถือก็ไม่ใช่มีทุกที่ มีพื้นที่จำนวนมากนอกเมืองที่ไม่มีสัญญาณ
• การลอกซิม (SIM cloning) อาจทำให้แฮ็กเกอร์ใช้โทรศัพท์มือถือที่ถูกก๊อปได้ อนึ่ง คนร้ายอาจหลอกพนักงานบริษัทมือถือให้ส่งซิมที่เหมือนกับซิมของลูกค้าไปให้ตนได้[19]
• ข้อความเอสเอ็มเอสที่ส่งไปยังโทรศัพท์ไม่ได้เข้ารหัสลับและยังสามารถถูกดักฟังโดยอุปกรณ์ที่เรียกว่า IMSI-catcher ได้ ดังนั้น บุคคลอื่นจึงอาจขโมยแล้วใช้โทเค็นได้[20]
• สมาร์ทโฟนปัจจุบันใช้รับทั้งอีเมลและข้อความเอสเอ็มเอส ถ้าโทรศัพท์หายหรือถูกขโมยโดยไม่มีรหัสผ่านหรือการป้องกันด้วยลักษณะทางชีวมิติเช่นลายนิ้วมือ บัญชีทุกบัญชีที่ใช้อีเมลเป็นชื่อผู้ใช้และมีโทรศัพท์เป็นปัจจัยพิสูจน์อย่างที่สองก็จะแฮ็กได้ทั้งหมด
• ในบางพื้นที่ บริษัทมือถืออาจคิดค่าใช้จ่ายเพื่อรับข้อความเอสเอ็มเอส